Security Lab

Ошибка в обработке SSL сертификатов в Microsoft Internet Explorer

Дата публикации:09.08.2002
Всего просмотров:1529
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в способе обработки SSL сертификатов в Microsoft's Internet Explorer. Уязвимость позволяет злонамеренной стороне создавать SSL сертификаты для произвольных доменов, которые будут считаться доверенными в уязвимом браузере.

Уязвимость связанна с неправильной обработкой промежуточных полномочий сертификатов. Обычно, промежуточные сертификаты должны обладать полем Basic Constraints, которое определяет, что свидетельство может использоваться как полномочное.

Однако IE не требует правильного определения поля Basic Constraints. Злонамеренная сторона с допустимым сертификатом может подписать новый сертификат для произвольного домена. Уязвимость позволяет нападающему обманывать чувствительные домены или выполнять нападения типа “ man-in-the-middle ” против зашифрованных подключений.

Уязвимость обнаружена в Microsoft Internet Explorer 5.5-6.0

Ссылки: IE SSL Vulnerability